Mozilla / Firefox に SSL に関する欠陥
Secunia のアドバイザリーによれば、Mozilla 1.7.x と Mozilla Firefox 0.x(もちろん 0.9.2 も含む)に、欠陥が発見されました。(CAN-2004-0763 ) 悪意のあるサイトが、細工した Unload イベントで他の信頼できるサイトの SSL 証明書を読み込ませることにより、実際には安全でないのに安全な鍵マークが表示されてしまう可能性があります。アドレスバーの URL は悪意のあるサイトのものなので、注意していれば見抜けます。回避策は不審なサイトに近寄らないこと。
Mozilla / Firefox には 20日にも、別の脆弱性(CAN-2004-0758 )が発見されており、細工されたルート証明書が、確認ダイアログ無しに勝手にインストールされ、リモートの攻撃者により DoS 攻撃を受ける可能性があるのだとか。なぜ DoS になるのかは理解できていないのですが。回避策はやはり信頼できないサイトにアクセスしないことです。加えて、SSL サイトにアクセスしたときにエラーが出る証明書があれば、「証明書マネージャ」の「認証局」で削除するように勧められています。
7月28日追記
えむもじら : Mozilla に証明書詐称の脆弱性 で知りましたが、すでに修正されたそうです。他のブラウザ(どれとは言いませんが)と違って早いですね。パッチが適用されたバージョンはまもなくリリースされるそうです。
8月5日追加
上記の欠陥が修正された、Mozilla 1.7.2 / Firefox 0.9.3 / Thunderbird 0.7.3 がリリースされました。
Mozilla / Firefox に SSL に関する欠陥
Mozilla / Firefox に SSL に関する欠陥Mozilla / Firefox に SSL に関する欠陥 July 27, 2004 10:49 PM Mozillaについての話題 Secunia のアドバイザリーによれば、Mozilla 1.7.x と Mozilla Firefox 0.x(もちろん 0.9.2 も含む)に、欠陥が発見されました。……
トラックバック by Tcs blog — 2004-07-29 12:07